设为首页收藏本站
①群120244181 ②群35650974 ③群27582343 ④群35651086

网站开发技术学习社区

 找回密码
 立即注册
查看: 1374|回复: 0

针对单入口文件形式的php程序如何配置nginx至最高安全性?

[复制链接]

820

主题

123

好友

8293

积分

版主

Rank: 7Rank: 7Rank: 7

优秀版主 论坛元老

发表于 2015-12-10 09:13:35 |显示全部楼层
本帖最后由 Lane 于 2015-12-10 09:19 编辑

安全问题,
就好比站在一个煤气罐旁边,
你不知道它什么时候会爆炸,
而一旦发生爆炸,
将会是致命的!

而作为开发者,
多数人在没有亲身经历这类事情的时候,
都会把安全问题忽略掉。

下面普及一个针对单入口文件php程序/系统的终极nginx安全配置
将php执行环境打造成最安全的级别(当然,程序本身的漏洞不在本文讨论范围)。

哪些系统是单入口文件程序呢?
典型的如:yii框架

终极nginx安全配置如下:
  1. #只允许单入口php程序执行
  2. location ~ (index|admin)\.php {
  3.     root /mnt/www;

  4.     fastcgi_pass   127.0.0.1:9000;
  5.     fastcgi_index  index.php;

  6.     #定义系统环境
  7.     #如生产环境、测试环境、开发环境区分系统变量

  8.     fastcgi_param  SCRIPT_FILENAME  /mnt/www$fastcgi_script_name;
  9.     include        fastcgi_params;
  10. }

  11. #禁用其它所有php程序
  12. location ~ \.php$ {
  13.     deny  all;
  14. }
复制代码
其实原理很简单,
既然程序是单入口的,
那么我只允许入口php程序执行,
其它所有php程序都禁止通过浏览器访问执行,
从而可以防止被人通过上传等途径植入木马程序后还能被执行。

要做到万无一失,
要养成良好的开发习惯,
只有明确可写入的目录才配置写入权限,
其它文件和程序,
都不要配置写入权限。

做到如下几点,能将安全级别提升到极致
  • 配置良好的目录权限;
  • 良好的开发习惯,文件上传只保存在可写入的目录下;
  • 加上上述终极安全nginx配置;

相信你的服务器安全级别已经提升到99%以上的黑客无法攻破的等级了!


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

赞助我们|Archiver|手机版|建站技术学习论坛  外链狗 - 由2sitebbs.com提供  

GMT+8, 2017-10-23 17:41 , Processed in 0.092747 second(s), 7 queries , Memcache On.

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部